こちらのWEBサイトは、WordPress(CMSツール)を使っています。ログイン履歴をふと見てみたら、自分ではないログイン形跡を見つけたので…… 「セキュリティ」ピリリとしました。笑
adminとpoppyouは、ログインされる際に入力されたIDですが、私はこのIDではないのでログインは失敗に終わっています。↓
amin(管理者権限)は、システム系でよく使われる文字列。poppyouは、このサイトのドメインなので、推測されて入力されたのでしょうね。
みなさんは、大丈夫ですか? こういったIDを設定していませんか? もししていたら、これ(上記のログイン)入られてしまっていたかもしれないですね。
ここに改めて、自分用とクライアントさん用として、セキュリティ対策をまとめておきます。
パスワード、推測されにくいですか?
これは、先にお伝えした内容と同じです。
WordPressにログインする際の、パスワードは下記のような「危険パスワード」になっていないですか?
- adminやpasswordなど、推測されやすい単語
- サイト名や氏名など
- IDと同じ
- 数字のみまたは、英字のみ
- 短い(8文字以上を推奨)
もし上記のようなパスワードになっていたら、推測されにくいものへご変更ください。また、定期的な変更を推奨。ただし……定期的に変えることで、面倒になってつい簡単なパスワードにしちゃわないように^^
FTPのパスワードも同様に、推測されにくいものを設定してください。
ワードプレスログイン画面URLを変更する
WordPressにログインする際のURL。これはデフォルトで決まったURLとなっています。(ドメインの後に /wp-admin/ もしくは /wp-login.php/ を付与すると、ログインページが表示される)
このページURLを変えると、ログインページへ辿り着くのに一手間かかるので、セキュリティ強化となります。
私はプラグインを使って、このURLを変更しています。
- SiteGuard WP Plugin
- XO Security
こういったプラグインを使えば簡単に変更できます。
またこういったプラグインを使うと、「ログイン履歴」も追えます。定期的に確認してみてください。
ログイン名(ID)が、自身で設定したものではなく「admin」などでログインされた形跡があったら……それは、そういうことかと思います(怖)。
そういったログインを見つけた際は、ログインページURLが見つかったということかと思うので、ログインページURLをまた別のものへ変更を推奨します。(私自身も、先ほどしました)
CMSツールは、最新バージョンにしていますか?
WordPressなどのCMSツールは、常に最新バージョンにしておきましょう。
WordPress本体はもちろんプラグインやテーマも、アップデートがあれば更新すること。
アップデートには、機能の追加・不具合の修正・セキュリティ脆弱性の解消など……重要な更新が含まれています。最新バージョンにしておくことで、攻撃から身を守れる率が高まります。
プラグイン・テーマの注意点、把握していますか?
WordPressのプラグインやテーマの脆弱性をつかれて、改ざんされる事例があります。これを防ぐためにも、
- 公式ディレクトリ以外で配布されているプラグイン・テーマは避ける(安全性を確認する)
- 長期間アップデートされていないプラグイン・テーマは避ける
- 使用していないプラグイン・テーマは「無効」ではなく、「削除」する
公式ディレクトリとは
WordPressのダッシュボードから検索&インストールできるプラグイン・テーマは、公式ディレクトリに登録されています。
サーバー会社さんの方でWAF設定も!
WAFとは、ウェブアプリケーションファイアウォール。攻撃を検知してブロックしてくれる機能です。
ご契約のサーバー会社さん側に、WAF設定がありますでしょうか? ぜひご確認ください。
私が使用しているエックスサーバーには、WAF設定があり無料でONにできます。
WAF設定をON(有効)にしたからといって、改ざんを100%防げるわけではありません。下記の場合は、防げません。
- すでに改ざんツールなどが仕組まれている状態
- FTPを利用された改ざんは、WAFでは防げない
- CMSツールのパスワード漏洩による改ざんも、WAFでは防げない
お使いのデバイスのOSも、最新バージョンに!
使われているパソコンなどのOSも、アップデートがあったら更新して、常に最新バージョンにしておきましょう。
上記のCMSツールのアップデートと、同じ理由です。
セキュリティソフト
お使いのパソコンに、セキュリティソフトを入れることも推奨します。ウィルスなどによって、パスワードなどの情報が盗まれてしまう可能性があります。業務で使うデバイスは、セキュリティソフトを入れ、定期的にウイルスチェックを行いましょう。
私は今は、ESETを利用しています。
バックアップは定期的に
もし改ざんにあったとしても、バックアップがあれば元の状態に戻すことができるかもしれません。
エックスサーバーでは、無償で自動バックアップを取ってくれています。またそちらのデータをもらうのも無料となったので、ありがたいですね。
私は他にもお守りとして、プラグインを入れてバックアップを取得しています。
上級者編
パーミッション設定
- .htaccess
- wp-config.php
- CGI
- 他、関係者以外に見られたら困るファイル
は、パーミッション設定を見直しましょう。
.htaccessファイルが書き換えられる事例が、多発しているようです。604(rw—-r–)推奨。
見方
アクセス権は、対象者と権利の組み合わせで表されている。
rwx-の4つの文字。所有者・グループ・他人の順番で、3つ並ぶ。
対象者
| Owner | 所有者 | サイトの管理者、ディレクトリ・ファイルの所有者 |
| Group | グループ | 共有サーバー全体、ディレクトリ・ファイルが入っているサーバーの人 |
| Other | 他人 | 上記以外の、他人 |
権利
| 見る(読み取り・表示) | r | 4 |
| 書く(書き込み、削除) | w | 2 |
| 実行(プログラムの実行) | x | 1 |
| 権限なし | – | 0 |
サーバー接続は、FTPSで
サーバー接続は、FTP接続ではなくFTPS、SSH(SFTP)を使いましょう。
FTP制限設定
登録したIPアドレス以外からは、FTP接続が出来ないよう設定できます。不正アクセスや改ざんのリスクを低減できます。
参考外部ページ
WordPressサイトのセキュリティ対策! パーミッションを見直そう!
重要なファイルはパーミッションを変更してアクセスされないようにしよう
参考にさせていただきました^^ ありがとうございます。
